CN208210002U - 基于峰谷调度策略的it资源攻击面信息采集与分析系统 - Google Patents

基于峰谷调度策略的it资源攻击面信息采集与分析系统 Download PDF

Info

Publication number
CN208210002U
CN208210002U CN201721837652.6U CN201721837652U CN208210002U CN 208210002 U CN208210002 U CN 208210002U CN 201721837652 U CN201721837652 U CN 201721837652U CN 208210002 U CN208210002 U CN 208210002U
Authority
CN
China
Prior art keywords
resource
module
assets
peak valley
weakness
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201721837652.6U
Other languages
English (en)
Inventor
肖鹏
周靖
苏永东
宋春
张睿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Information Center of Yunnan Power Grid Co Ltd
Original Assignee
Information Center of Yunnan Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Information Center of Yunnan Power Grid Co Ltd filed Critical Information Center of Yunnan Power Grid Co Ltd
Priority to CN201721837652.6U priority Critical patent/CN208210002U/zh
Application granted granted Critical
Publication of CN208210002U publication Critical patent/CN208210002U/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Computer And Data Communications (AREA)

Abstract

基于峰谷调度策略的IT资源攻击面信息采集与分析系统,包括IT资源主动发现模块、IT资源被动发现模块、IT资源弱点检测模块、峰谷任务调度模块和综合分析模块。通过调度网络扫描工具进行主动探测,结合外部流量、日志信息识别内部IT资源与攻击面,并能够对库内活动的IT资源进行弱点检测。峰谷任务调度模块根据网络负载合理调度IT资源发现模块,跟踪内网IT资源的变化。综合分析模块对系统内外部数据进行综合管理进行分析。本实用新型针对大型企业内部IT资产难以及时更新、发现的问题,对接入网络资产攻击面的连续监测,及时发现内网活跃终端及其开放的服务与弱点,在安全事件、漏洞出现时,快速定位相关IT资产及责任人。

Description

基于峰谷调度策略的IT资源攻击面信息采集与分析系统
技术领域
本实用新型属于信息安全领域,涉及到信息安全漏洞管理领域。
背景技术
当前信息安全形势下,各类攻击、恶意代码在选择突破点或传播时主要利用信息系统主机开放的端口、存在漏洞的版本等进行,如肆虐物联网造成美国大断网的Mirai蠕虫、Java 反序列化漏洞主要利用的端口和低版本软件等。当前企业在收到相关预警后,全网的排查工作主要通过端口扫描和协调相关人员资产收集、确认的方式检查是否存在风险主机,进而开展针对性的响应。
但目前大型企业内网设备众多,并且往往包含大量员工自带设备不在企业管控的资产清单中,完成全网资产的全部端口扫描、版本排查耗时往往需要1周甚至更长的时间,还可能需要相关人员的配合才能完成。这极大的影响了响应时间,攻击者可以利用排查的时间完成攻击并入侵控制内网系统,造成经济损失或形象损害。
本实用新型通过内部合理调度IT资产扫描策略,持续检测内网活动IT资源,保存IT资源活动历史,并利用漏洞检测模块对IT资源主流弱点进行检测,结合企业内部资产管理及网络准入数据,在新网络安全威胁出现后,能够快速根据威胁利用的弱点进行攻击面快速筛查,在整改后检测网络安全合规要求的落实情况,并能够辅助对终端相关的网络安全时间进行溯源调查。
发明内容
随着大型企业内部IT资源日益增多、员工携带自有设备进入内网办公,内网IT资源的攻击面日益扩大并处于频繁变化的状态,传统通过资产管理结合定期漏洞扫描的模式无法确保企业对内部网络安全合规性的有效管控,在发生网络安全事件后难以快速对攻击痕迹进行追溯,并且企业在接收到网络安全威胁预警后,难以有效的对内网大量的IT资源进行快速排查。通过应用基于峰谷调度策略的企业内部IT资源攻击面信息采集与分析系统,定期记录各资产攻击面快照,结合网络准入或资产管理数据快速定位责任人,能够有效提升网络安全威胁处置效率。
本实用新型的目的是通过以下技术方案实现的:
基于峰谷调度策略的IT资源攻击面信息采集与分析系统,采用峰谷任务调度模分别连接 IT资源主动发现模块、IT资源被动发现模块,其中IT资源主动发现模块、峰谷任务调度模块、IT资源被动发现模块分别连接到IT资产库,IT资产库又分别连接综合分析模块、IT资源弱点检测模块;IT资源弱点检测模块还与综合分析模块连接;其中,IT资源被动发现模块外接口连接外部流量及网络安全设备日志获取IT资产网络活动信息,IT资源主动发现模块外接口通过主动IP发现与端口扫描获取外部IT资产信息;IT资源弱点检测模块还对IT资产进行执行弱点检测;综合分析模块外接口连接到资产清单或网络准入获取责任人信息/资产唯一标识信息;各模块包括:
A、IT资源主动发现模块主动探测内网IT资源的IP地址、开放端口、主机名、开放服务 Flag信息等内容并保存;
B、IT资源被动发现模块采集接收、采集外部流量分析系统、安全审计系统、安全设备、网络设备日志,解析并过滤相关数据中的内网IP地址、端口和MAC地址(如有)并保存;
C、IT资源弱点检测模块对活动的内网IT资源执行包括弱口令、漏洞检测在内的弱点检测,提供通用检测框架,支持自定义弱点检测插件;
D、峰谷任务调度模块根据工作时间合理调度IT资源发现的主动模块工作情况,综合应用主动和被动发现模块以降低工作高峰期对网络的压力;
E、综合分析模块将IT资源主动发现模块和被动发现模块的信息、结合外部资产清单或网络认证系统数据,形成内部IT资源、弱点清单。
本实用新型具有以下优点:
1、通过持续对内网资产进行检测,实时反映企业内网活动IT资产情况,并通过峰谷调度,在工作时间网络负载较高的情况下主要采用网络流量分析的被动发现方法结合主动低速验证减少对网络的影响同时保持检测覆盖面,在非工作时间网络负载不高的情况下采用主动检测方式提高检测准确度。
2、采用统一资产漏洞发现框架,可根据实际情况集成各类漏洞检测工具,同时内置常见漏洞检测模块,实现高度定制化、广泛兼容性。
3、提供企业内网资产历史攻击面回溯,不放过任何违规行为并能够在安全事件发生后提供调查、追溯支持。
4、通过导入资产清单或与网络准入系统集成,即时将IT资产及其漏洞关联到责任人,减少IP动态分配情况下的责任人查找工作量。
附图说明
图1为本实用新型连接结构示意图。
具体实施方式
见图1,基于峰谷调度策略的IT资源攻击面信息采集与分析系统,采用峰谷任务调度模分别连接IT资源主动发现模块、IT资源被动发现模块,其中IT资源主动发现模块、峰谷任务调度模块、IT资源被动发现模块分别连接到IT资产库,IT资产库又分别连接综合分析模块、IT资源弱点检测模块;IT资源弱点检测模块还与综合分析模块连接;其中,IT资源被动发现模块外接口连接外部流量及网络安全设备日志获取IT资产网络活动信息,IT资源主动发现模块外接口通过主动IP发现与端口扫描获取外部IT资产信息;IT资源弱点检测模块还对IT资产进行执行弱点检测;综合分析模块外接口连接到资产清单或网络准入获取责任人信息/资产唯一标识信息;各模块包括:
A、IT资源主动发现模块主动探测内网IT资源的IP地址、开放端口、主机名、开放服务 Flag信息等内容并保存;
B、IT资源被动发现模块采集接收、采集外部流量分析系统、安全审计系统、安全设备、网络设备日志,解析并过滤相关数据中的内网IP地址、端口和MAC地址(如有)并保存;
C、IT资源弱点检测模块对活动的内网IT资源执行包括弱口令、漏洞检测在内的弱点检测,提供通用检测框架,支持自定义弱点检测插件;
D、峰谷任务调度模块根据工作时间合理调度IT资源发现的主动模块工作情况,综合应用主动和被动发现模块以降低工作高峰期对网络的压力;
E、综合分析模块将IT资源主动发现模块和被动发现模块的信息、结合外部资产清单或网络认证系统数据,形成内部IT资源、弱点清单。
本实用新型IT资源主动发现模块接受峰谷任务调度模块下发的主动发现任务,根据任务给定的IP检测范围,通过IP扫描、端口扫描、协议识别、操作系统识别主动发现内网IT 资源,转换为key-value格式的配置记录并保存到本地IT资源临时活动信息库中,对于已存在的IP执行更新操作。综合分析模块读取IT资源主动发现模块产生的IT资源临时活动信息,经处理后形成IT资源库。
本实用新型IT资源被动发现模块接受峰谷任务调度模块下发的被动发现任务,根据任务要求采集接收、采集外部流量分析系统、安全审计系统、安全设备、网络设备日志,解析并根据预先设定的内网IP范围过滤相关数据中的内网IP地址、端口和MAC地址(如有)并保存到本地IT资源临时活动信息库中,如已存在则执行更新。综合分析模块读取IT资源被动发现模块产生的IT资源临时活动信息,经处理后形成IT资源库。
本实用新型IT资源弱点检测模块根据检测任务计划或人工设置的检测任务,选择漏洞检测插件,从本地IT资源库中获取活动的IT资源进行弱点检测,支持自定义插件对新漏洞或个性化检测需求进行检测,并将检测到的弱点传输到综合分析模块进行资产弱点关联,经处理后完善IT资源库。
本实用新型峰谷任务调度模块根据当前时间、IT资源更新时间合理调度;在工作时间,主要调度被动发现模块进行初步发现,并调度主动发现模块对库内的被动发现的IT资源进行有效性检验;在非工作时间,定期调度IT资源主动发现模块进行全面检测并忽略被动发现模块提供的数据;根据IT资源活动库中的检测/更新时间,对距离当前时间超过4小时的IT资源调度主动发现模块执行活动性检测,对于仍然存活的IT资源更新相关内容及时间,对于未响应的IT资源转入本地IT资源临时非活动信息库。
本实用新型综合分析模块根据本地IT资源临时活动信息库、本地IT资源临时非活动信息库、IT资源弱点库以及外部导入的资产清单、网络准入认证记录等信息,首先根据时间去除活动信息库中的重复信息,随后根据准入登陆时间和注销时间完善活动库和非活动库中IT 资源的唯一资产及其责任人,并与IT资源弱点进行关联,形成IT资源活动信息库和历史信息库,并提供多种维度的搜索、过滤、统计界面。

Claims (1)

1.基于峰谷调度策略的IT资源攻击面信息采集与分析系统,其特征在于,采用峰谷任务调度模分别连接IT资源主动发现模块、IT资源被动发现模块,其中IT资源主动发现模块、峰谷任务调度模块、IT资源被动发现模块分别连接到IT资产库,IT资产库又分别连接综合分析模块、IT资源弱点检测模块;IT资源弱点检测模块还与综合分析模块连接;其中,IT资源被动发现模块外接口连接外部流量及网络安全设备日志获取IT资产网络活动信息,IT资源主动发现模块外接口通过主动IP发现与端口扫描获取外部IT资产信息;IT资源弱点检测模块还对IT资产进行执行弱点检测;综合分析模块外接口连接到资产清单或网络准入获取责任人信息/资产唯一标识信息。
CN201721837652.6U 2017-12-25 2017-12-25 基于峰谷调度策略的it资源攻击面信息采集与分析系统 Active CN208210002U (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201721837652.6U CN208210002U (zh) 2017-12-25 2017-12-25 基于峰谷调度策略的it资源攻击面信息采集与分析系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201721837652.6U CN208210002U (zh) 2017-12-25 2017-12-25 基于峰谷调度策略的it资源攻击面信息采集与分析系统

Publications (1)

Publication Number Publication Date
CN208210002U true CN208210002U (zh) 2018-12-07

Family

ID=64490773

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201721837652.6U Active CN208210002U (zh) 2017-12-25 2017-12-25 基于峰谷调度策略的it资源攻击面信息采集与分析系统

Country Status (1)

Country Link
CN (1) CN208210002U (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110474906A (zh) * 2019-08-16 2019-11-19 国家计算机网络与信息安全管理中心 基于闭环反馈的主被动结合网络空间目标深度挖掘技术
CN111028085A (zh) * 2019-03-29 2020-04-17 哈尔滨安天科技集团股份有限公司 一种基于主被动结合的网络靶场资产信息采集方法及装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111028085A (zh) * 2019-03-29 2020-04-17 哈尔滨安天科技集团股份有限公司 一种基于主被动结合的网络靶场资产信息采集方法及装置
CN110474906A (zh) * 2019-08-16 2019-11-19 国家计算机网络与信息安全管理中心 基于闭环反馈的主被动结合网络空间目标深度挖掘技术

Similar Documents

Publication Publication Date Title
US10854059B2 (en) Wireless sensor network
CN101309180B (zh) 一种适用于虚拟机环境的安全网络入侵检测系统
CN105119750B (zh) 一种基于大数据的分布式信息安全运维管理平台系统
CN101482987B (zh) 基于通信网络的户外通信机房门禁集中控制与管理的方法
CN110995736B (zh) 一种通用的工业物联网设备管理系统
CN101350745B (zh) 一种入侵检测方法及装置
CN100386993C (zh) 网络入侵事件风险评估方法及系统
EP3111433A1 (en) Wireless sensor network
CN104038466B (zh) 用于云计算环境的入侵检测系统、方法及设备
CN104539053A (zh) 基于爬虫技术的电力调度自动化巡检机器人及巡检方法
CN102739802A (zh) 面向业务应用的it集中运维分析系统
EP1971102B1 (en) Method and system for monitoring communication devices to detect malicious software
CN101826993A (zh) 一种安全事件监测方法、系统及装置
CN103026345A (zh) 用于事件监测优先级的动态多维模式
CN104486346A (zh) 一种跳板机系统
CN109547479A (zh) 一种工业环境中威胁情报整合系统和方法
CN208210002U (zh) 基于峰谷调度策略的it资源攻击面信息采集与分析系统
CN104871171B (zh) 分布式模式发现
Wang et al. A centralized HIDS framework for private cloud
CN106940643A (zh) 警民通app系统
CN103870549B (zh) 石油地质软件数据的清理方法及装置
CN110415373A (zh) 一种充电桩巡检管理系统
CN103365963B (zh) 数据库稽核系统合规性快速检验方法
CN107463490B (zh) 一种应用于平台开发中的集群日志集中收集方法
CN104246787A (zh) 用于模式发现的参数调节

Legal Events

Date Code Title Description
GR01 Patent grant
GR01 Patent grant